Хакеры используют уязвимость RCE в Veeam для распространения нового программного обеспечения-вымогателя «Frag»
Хакеры активно используют критическую уязвимость в программном обеспечении Veeam Backup & Replication для распространения нового программного вируса-вымогателя под названием «Frag».
Эта уязвимость, зарегистрированная как CVE-2024-40711, позволяет удаленное выполнение кода без аутентификации. Оценка уязвимости по шкале CVSS составляет 9.8 из 10, что указывает на высокий уровень риска.
Исследователи Sophos X-Ops сообщили, что эти атаки являются частью угрозы, которую они назвали STAC 5881. Нападающие получили первоначальный доступ через скомпрометированные VPN-устройства, а затем использовали уязвимость в Veeam для создания учетных записей администратора.
Эта критическая уязвимость затрагивает версии Veeam Backup & Replication до 12.1.2.172. Veeam, популярное решение для резервного копирования, используемое более чем 550 000 клиентами, включая 74% компаний из списка Global 2000, выпустило патчи безопасности для устранения уязвимости в начале сентября 2024 года.
Ранее группа STAC 5881 использовала версии программ-вымогателей Akira и Fog. Однако в одном из недавних инцидентов исследователи Sophos обнаружили использование нового, ранее не задокументированного вируса-вымогателя Frag. Этот вирус выполняется через командную строку и добавляет расширение «.frag» к зашифрованным файлам.
Шон Галлахер, главный исследователь угроз в Sophos X-Ops, отметил, что, как и в предыдущих случаях, хакеры использовали скомпрометированное VPN-устройство для доступа и использовали уязвимость Veeam для создания новой учетной записи «point». В этом случае была создана также учетная запись «point2».
Frag работает аналогично Akira и Fog, что может свидетельствовать о том, что новая группа использует уже известные тактики.
Использование уязвимости в Veeam продолжает тенденцию, когда хакеры нацеливаются на решения для резервного копирования с целью усилить воздействие своих атак-вымогателей. Используя скомпрометированные системы резервного копирования, хакеры затрудняют восстановление данных жертв без уплаты выкупа.
Эксперты по кибербезопасности настоятельно рекомендуют организациям, использующим Veeam Backup & Replication, немедленно установить последние обновления безопасности. Кроме того, они советуют изолировать серверы резервного копирования от Интернета, использовать многофакторную аутентификацию для доступа к управлению и усиливать мониторинг для обнаружения необычной активности.
Появление новых вариантов программ-вымогателей, таких как Frag, подчеркивает необходимость укрепления мер кибербезопасности и своевременного устранения известных уязвимостей.